« Zurück zum Blog

Der Artificial Intelligence Act der EU – eine sinnvolle Regulierungsmaßnahme zum Schutz von Freiheitsrechten?

Vor Kurzem hat die Kommission der Europäischen Union den Artificial Intelligence Act (kurz: AIA) vorgestellt und somit weltweit den ersten Versuch gewagt, ein Regelwerk für KI- Anwendungen und ihre Rahmenbedingungen zu schaffen. Es geht dabei jedoch nicht primär um die Förderung von KI, sondern um deren Regulierung.


(Image by starline - www.freepik.com)

23.06.2021 16:00
Ein Beitrag von Charlotte Binder

Der Artificial Intelligence Act der EU soll in Kürze im EU- Parlament diskutiert und anschließend verabschiedet werden. Ziel ist es, dass AI-Solutions innerhalb eines rechtssicheren Umfelds im europäischen Binnenmarkt in Konformität zu den europäischen Werten und Prinzipien geschaffen werden. Dabei sollen EU-weit einheitliche und hohe Schutzniveaus für öffentliche Interessen geschaffen werden, zu denen vor allem Gesundheit, Sicherheit und fundamentale Grundrechte zählen.

Um dies umzusetzen hat die EU einen gefahrenbasierten Ansatz gewählt. KI-Anwendungen werden je nach Gefährdungspotenzial klassifiziert, wobei je nach Klassifizierung unterschiedliche Regelungen gelten. Im Vorfeld muss jedoch erstmal festgestellt werden, für welche Anwendungen der AIA überhaupt gilt: Der sachliche Anwendungsbereich des AIA ergibt sich aus Art. 3 Abs. 1 iVm Annex I AIA. Dort wird ein artificial intelligence system bzw. eine KI-Anwendung legaldefiniert als eine Software, die auf der Basis von einer oder mehrerer bestimmten Techniken entwickelt wurde und für menschlich definierte Ziele Ergebnisse in Form von Inhalten, Vorhersagen, Empfehlungen oder Entscheidungen generiert, die das Umfeld, mit dem sie interagieren, beeinflussen. Dazu gehören beispielsweise Ansätze des maschinellen Lernens. Nicht erfasst sind jedoch auf KI gestützte Videospiele oder Spamfilter.

Mehrere Stufen

Auf der ersten Stufe stehen KI-Systeme mit geringem bis minimalem Risiko. Für diese sollen besondere Transparenzverpflichtungen gelten. Unter diese Kategorie fallen unter anderem Chatbots. Diese sollen ihre Nutzer darüber informieren, dass sie mit einer Maschine und nicht mit einer echten Person interagieren. Auch Systeme zur Erzeugung oder Veränderung von Bild-, Audio- oder Videomaterial, das für echt gehalten werden könnte (sogenannte deep fakes), müssen offenbaren, dass ihr Inhalt nicht echt ist. Diese Transparenzvorschriften gelten nicht nur für KI-Systeme mit geringem Risiko, sondern für alle Systeme, unabhängig von ihrer Klassifizierung.

Auf der zweiten Stufe stehen KI-Systeme in Hochrisikobereichen. Dazu gehört die biometrische Massenüberwachung an nicht öffentlichen Plätzen, sowie Systeme in der kritischen Infrastruktur, in der Schul- und Berufsausbildung, im Personalbereich, Systeme öffentlicher Behörden zur Bewertung von Ansprüchen und Unterstützungsleistung, zur Strafverfolgung etc. In solchen Hochrisikobereichen sind KI-Systeme zwar zulässig, unterstehen jedoch strengen Vorgaben und Compliance-Anforderungen. Doch wie sehen diese Anforderungen konkret aus?

Zuallererst bedarf es eines Risiko- und Qualitätsmanagements für die gesamte Einsatzdauer. Außerdem muss eine hohen Datenqualität, Dokumentation, Protokollierung, Rückverfolgbarkeit und ausreichende Cybersicherheit gewährleistet sein. Zudem müssen die Systeme derart designt sein, dass sie stets durch Menschen überwacht werden können und den Nutzern muss eine klare und verständliche Anleitung zur Verfügung gestellt werden, damit diese die Ergebnisse des Systems korrekt interpretieren können. Solche Hochrisiko-Anwendungen bedürfen vor dem Markteintritt einer Konformitätsprüfung und einer Zertifizierung. Zum Teil erfolgt diese Konformitätsprüfung durch die Hersteller selbst, einige Pflichten treffen aber auch Importeure, Händler und Nutzer. Es ist nur sinnvoll auch die Nutzer von solchen Systemen in die Pflicht zu nehmen, um eine effektive Kontrolle solcher Hochrisikoanwendungen zu gewährleisten. Schließlich profitieren auch die Nutzer wirtschaftlich von den KI-Systemen. Zu einer effektiven Kontrolle gehört es auch, dass die Mitgliedstaaten Behörden einrichten müssen, die für die Durchführung der Verfahren zur Konformitätsprüfung und die Überwachung der Anwendungen zuständig sind. Diese Behörden haben unter bestimmten Voraussetzungen auch einen Zugriff auf den Quellcode des KI-Systems und Eingriffsbefugnisse, die von Korrekturmaßnahmen bis zu einer gänzlichen Untersagung reichen.

Bei entscheidungsnahen Tätigkeiten ist beim Einsatz von KI-Anwendungen jedoch hohe Vorsicht geboten. Wichtige Entscheidungen sollten immer noch durch einen Menschen und nicht durch KI getroffen werden. Zudem ist gerade im Bereich der Justiz wichtig, dass der Grundsatz der freien Beweiswürdigung und das Recht auf einen gesetzlichen Richter nicht eingeschränkt werden.

Besonders sensible Bereiche

Auf der letzten Stufe stehen KI-Systeme in besonders sensiblen Bereichen, die den fundamentalen Rechten und Werten der Europäischen Union entgegenstehen. Diese Systeme sind grundsätzlich verboten, da sie eine klare Bedrohung für die Sicherheit, Lebensgrundlagen und Rechte von Menschen darstellen. Zu solch verbotenen Systemen gehören beispielsweise Programme, die durch signifikante Wahrnehmungsverzerrung (wahrscheinlich) zu einem Schaden von Personen führen, indem sie durch unterbewusste Manipulation das Alter oder psychische bzw. physische Schwächen ausnutzen. Zudem fallen Social Scoring Systeme von öffentlichen Behörden in die Kategorie der verbotenen Systeme. Solche Social Scoring Systeme werden beispielsweise bereits in China angewendet. Dabei werden Personen nahezu vollständig überwacht und es werden Punkte für (aus der Sicht der herrschenden Kommunistischen Partei Chinas) wünschenswertes Verhalten vergeben. Ebenso können für negatives Verhalten Punkte entzogen werden. Bürger mit einem positiven Punkteranking können dabei mit Vorteilen rechnen, wie beispielsweise dem schnelleren Zugang zu Krediten oder Vorteile bei der Beantragung eines Visums. Zudem ist es für sie einfacher einen Kindergartenplatz für ihre Kinder oder einen Pflegeplatz für ihre Eltern zu finden. Bürger mit einem negativen Punkteranking müssen mit erheblichen Nachteilen rechnen. So wird es für sie schwieriger sein, eine Karriere bei staatlichen Organisationen zu verfolgen. Außerdem erwarten sie Reisebeschränkungen, eine Drosselung der Internetgeschwindigkeit und sogar höhere Steuern.

Solche Scoring Systeme stehen im deutlichen Widerspruch zu den europäischen Werten und den Freiheitsrechten jedes Einzelnen und fallen somit zurecht unter die Kategorie der verbotenen Systeme. Ebenfalls verboten sind Systeme für biometrische Massenüberwachung in Echtzeit an öffentlichen Orten für Zwecke der Rechtsdurchsetzung. Hierfür bestehen jedoch gewisse Ausnahmetatbestände, wie beispielsweise für die zielgerichtete Suche von Opfern und vermissten Kindern, substanzielle Bedrohungen von Leben und Sicherheit natürlicher Personen bzw. für Terroristenangriffe. Der European Data Protection Supervisior äußert sich jedoch kritisch zu diesen Ausnahmetatbeständen. KI kann bei der biometrischen Massenüberwachung zu noch nie dagewesenen Entwicklungen beitragen und trägt ein hohes Risiko für tiefgreifende Eingriffe in das Privatleben des Einzelnen. Außerdem ist zu berücksichtigen, dass KI zur Gesichtserkennung nicht komplett fehlerfrei arbeitet.

Empfindliche Geldbußen

Bei Verstößen gegen den AIA können empfindliche Geldbußen in Millionenhöhe drohen. Extrem hohe Geldbußen waren zuvor schon bei Verstößen gegen die DSGVO und bei Kartellrechtsverstößen möglich, ein Verstoß gegen den AIA kann jedoch noch teurer ausfallen. Dabei erfolgt eine Staffelung der Bußgelder, je nach Schwere des Verstoßes. Insbesondere bei der Missachtung des Verbots bestimmter KI-Anwendungen sowie bei einigen Verstößen gegen Grundsätze der Datenverwaltung im Zusammenhang mit Hochrisiko- Anwendungen können Bußgelder in Höhe von 30 Millionen Euro fällig werden. Bei Unternehmen kann ein Bußgeld darüber hinaus sogar 6% des Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Andere Verstöße gegen Verpflichtungen des AIA werden mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes sanktioniert. Wenn den nationalen Behörden falsche, unvollständige oder irreführende Informationen übermittelt werden, drohen Bußgelder von bis zu 10 Millionen Euro, beziehungsweise 2% des weltweiten Jahresumsatzes.

Fraglich ist, ob der AIA durch diese hohen Strafen und aus Furcht vor weiteren Regulierungen Entwickler abschreckt, sodass sie aus Europa abwandern und ihre Entwicklung andernorts vorantreiben. Zu beachten ist allerdings, dass die Entwickler selbst an den AIA gebunden sind, wenn sie ihren Sitz außerhalb der EU haben, sofern der von dem KI-System erzeugte Output in er EU verwendet wird. Die einzige Möglichkeit, wie Entwickler den Regulierungen entkommen könnten wäre, wenn sie sich vollständig aus dem europäischen Markt zurückziehen. Dies ist allerdings unter einer realistischen Betrachtungsweise nicht zu erwarten. Außerdem könnte die neugeschaffene Rechtssicherheit auch für Entwickler von Vorteil sein. Im Gegensatz zu anderen Regionen der Welt würde es dann in Europa ein klares Regelwerk geben. Nicht auszuschließen ist es jedoch, dass die Entwicklung von KI-Systemen langwieriger und kostenintensiver wird. Hier wird es Aufgabe der EU sein, durch geeignete Fördermaßnahmen gegenzusteuern. Der verantwortungsvolle Einsatz von KI kann somit auch wirtschaftliche und wettbewerbsrechtliche Vorteile für den Standort Europa mit sich bringen.

Fazit

Abschließend lässt sich sagen, dass die EU mit dem AIA auf die rasanten Entwicklungen im Bereich KI reagiert und somit ein wegweisendes und notwendiges Regelwerk auf die Beine stellt, für das es bisher weltweit kein Vorbild gibt. KI darf in einem Rechtsstaat nicht dazu führen, dass essenzielle Grundrechte eingeschränkt oder gar aufgehoben werden. Der Artificial Inteligence Act leistet hierzu seinen Beitrag. Vor allem trägt er durch seine festgelegten Regulierungen auch dazu bei, das Vertrauen der Bevölkerung in KI zu stärken. Es bleibt jedoch abzuwarten, welche Auswirkungen der AIA tatsächlich haben wird, sobald er vom EU Parlament verabschiedet wurde. Insbesondere wird sich zeigen, ob der AIA auch im Hinblick auf zukünftige Entwicklungen der KI praktikabel und durchsetzbar bleibt.

Quellen:

1. Sebastian Cording – EU als neues Zentrum für künstliche Intelligenz? (https://www.lto.de/recht/kanzleien-unternehmen/k/artificial-intelligence-act-erster-entwurf-eu-kommission-regulierung-kuenstliche-intelligenz/)

2. Artificial Intelligence Act: a welcomed initiative, but ban on remote biometric identification in public space is necessary (https://edps.europa.eu/press-publications/press-news/press-releases/2021/artificial-intelligence-act-welcomed-initiative_en)

3. Jeanette Gorzalla Regulating Robots – Entwurf des Artificial Intelligence Act (https://lesen.lexisnexis.at/_/regulating-robots-entwurf-des-artificial-intelligence-act/artikel/rdw_digitalonly/2021/17/RdW_digitalOnly_2021_17_034.html)

4. Social Scoring in China (https://www.heise.de/ct/artikel/Social-Scoring-in-China-4713878.html)

5. European Commission, Proposal for a Regulation of the European Parliament and of the Council, Laying down harmonized rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts vom 21.4.2021.

Verein zum Mitmachen

Interdisziplinäres Arbeiten macht uns aus. Gemeinsam organisieren wir Stammtische, nehmen Podcasts auf und tauschen uns rund um Legal Tech aus. Wir gehen zusammen auf Veranstaltungen, Konferenzen und Hackathons. Unsere Gemeinschaft macht uns stark.

Auswahlverfahren? Gibt es bei uns nicht. Wir freuen uns jederzeit über neue Mitglieder, ganz gleich aus welcher Fachrichtung. Werde auch du ein Teil von uns!

Jetzt mitmachen →

ImpressumDatenschutzKontaktSatzung Facebook Instagram LinkedIn YouTube

© Tübingen Legal Tech e.V. 2020 Tübingen Legal Tech e.V. ist im Vereinsregister des Amtsgerichts Stuttgart unter der Nummer XXXXXX eingetragen. Mitin der Universitätsstadt Tübingen entwickelt.